Le propritaire d'un tlphone Android trouve accidentellement un moyen de contourner l'cran de verrouillage Et reoit 70 000 dollars de Google pour avoir signal le problme

La mise jour de scurit publie par Google en novembre a permis de corriger une vulnrabilit assez srieuse qui pouvait permettre une personne de contourner l'cran de verrouillage de nombreux tlphones Android en moins d'une minute sans aucun logiciel ou outil spcial. En effet, le chercheur en cyberscurit David Schtz a accidentellement trouv un moyen de contourner l'cran de verrouillage de ses smartphones Google Pixel 6 et Pixel 5 permettant toute personne ayant un accs physique l'appareil de le dverrouiller.

Le processus, tonnamment simple, ne ncessite qu'un accs physique un tlphone et une carte SIM supplmentaire verrouille par un code PIN. Il suffit d'changer la carte SIM supplmentaire, de saisir trois fois un code incorrect pour la carte SIM et, enfin, de saisir le code PUK (Personal Unblocking Key) qui se trouve gnralement sur la carte support de la carte SIM. Et avec ces simples tapes, l'cran de verrouillage disparat.

Schtz dit avoir dcouvert la faille par accident aprs que son Pixel 6 se soit vid de sa batterie, qu'il ait saisi son code PIN de manire errone trois reprises et qu'il ait rcupr la carte SIM verrouille l'aide du code PUK.

sa grande surprise, aprs avoir dverrouill la carte SIM et slectionn un nouveau code PIN, l'appareil n'a pas demand le mot de passe de l'cran de verrouillage, mais a seulement demand un scan des empreintes digitales. J'ai dcouvert ce bug aprs 24 heures de voyage. En arrivant chez moi, mon Pixel 6 tait 1 % de batterie. J'tais au milieu de l'envoi d'une srie de messages texte quand il est tomb en panne. Je me suis prcipit vers le chargeur et j'ai redmarr le tlphone.

Le Pixel a dmarr et m'a demand le code PIN de la carte SIM. D'habitude, je le connaissais, mais cette fois, je n'arrivais pas m'en souvenir correctement. J'esprais pouvoir le trouver, alors j'ai essay quelques combinaisons, mais j'ai fini par entrer 3 codes PIN incorrects, et la carte SIM s'est verrouille. Elle avait maintenant besoin du code PUK pour se dverrouiller et fonctionner nouveau.

Les appareils Android demandent toujours un mot de passe ou un motif pour l'cran de verrouillage au redmarrage pour des raisons de scurit, il n'tait donc pas normal de passer directement au dverrouillage par empreinte digitale.

David Schtz a poursuivi ses expriences et, lorsqu'il a essay de reproduire la faille sans redmarrer l'appareil et en partant d'un tat dverrouill, il a compris qu'il tait possible de contourner galement la demande d'empreinte digitale, en passant directement l'cran d'accueil. L'impact de cette faille de scurit est assez grand, affectant tous les appareils fonctionnant sous Android versions 10, 11, 12 et 13 qui n'ont pas t mis jour avec le correctif de novembre 2022.

Lorsque Schtz a saisi le numro PUK correct, la fonction "dismiss" a t appele deux fois, une fois par une fonction en arrire-plan qui surveille l'tat de la carte SIM, et une fois par le composant PUK. La correction de Google pour ce bogue est assez simple. Cette vulnrabilit est officiellement enregistre sous le nom de CVE-2022-20465. Google a publi les correctifs dans la branche Android 13 sur AOSP, mais ils ont galement t ports dans les branches Android 10, 11 et 12.

Envoy par David Schtz

J'ai envoy le rapport. Je pense que c'tait mon rapport le plus court jusqu' prsent. Il n'a fallu que 5 tapes simples.

Aprs qu'il ait t examin, il y a eu essentiellement un mois de silence. J'ai entendu dire qu'il pourrait en fait tre ferm comme un doublon. Apparemment, quelqu'un l'avait dj signal auparavant, mme si c'est mon rapport qui les a fait agir. Il semble que quelque chose se soit mal pass dans le traitement du rapport original. En effet, 31 jours aprs avoir signal le problme, j'ai reu un courriel automatique indiquant que "l'quipe charge de la scurit d'Android estime qu'il s'agit d'un doublon d'un problme prcdemment signal par un autre chercheur externe". C'tait un peu le moment de la signature du bug bounty, un bug passant de 100 000 dollars 0 dollar. Je ne pouvais pas vraiment faire autre chose qu'accepter le fait que ce bug est maintenant un doublon et ne paiera pas.

Presque deux mois se sont couls aprs mon rapport, et il n'y avait que du silence. Le 59e jour, j'ai envoy un message au ticket, demandant une mise jour du statut. J'ai reu une rponse type disant qu'ils travaillaient toujours sur la correction. Trois mois aprs mon rapport, j'tais Londres pour assister l'vnement chasse-bugs de Google appel ESCAL8. Le correctif de septembre 2022 venait de sortir, j'ai mis jour mon tlphone et, une nuit dans ma chambre d'htel, j'ai essay de reproduire le bug. J'esprais qu'ils l'avaient dj corrig. Non. J'tais toujours capable de dverrouiller le tlphone.

Cet incident dans la chambre d'htel m'a vraiment fait peur. J'avais l'impression de m'inquiter et de me soucier beaucoup plus de la correction du bug que de Google lui-mme. Ce qui ne devrait pas tre le cas. Mme si je ragis de manire excessive. Cette nuit-l, j'ai commenc contacter d'autres Googlers qui taient prsents l'vnement avec nous.

Le lendemain, j'ai fini par expliquer ma situation plusieurs personnes, et j'ai mme fait une dmonstration en direct avec certains des Pixel dans les bureaux de Google. Par la suite, ils m'ont dit que mme si mon rapport tait un doublon, ce n'tait qu' cause de mon rapport qu'ils avaient commenc travailler sur la correction. C'est pourquoi ils ont dcid de faire une exception et de rcompenser 70 000 dollars pour le contournement de l'cran de verrouillage. J'ai galement dcid (avant mme la prime) que j'avais trop peur de publier le bogue en direct et que, comme la correction tait prvue dans moins d'un mois, cela n'en valait pas vraiment la peine. J'ai dcid d'attendre la correction.

Pour avoir signal le problme, Google a vers 70 000 dollars David dans le cadre de son programme de primes aux bugs. Malheureusement, le processus ne s'est pas droul aussi facilement qu'il l'aurait d. Selon le rcit des vnements par David, il a tent de signaler le problme il y a environ cinq mois, et Google a alors dclar qu'il s'agissait d'un faux et qu'il n'tait pas ligible une rcompense. Des mois plus tard, aprs avoir montr le problme certains employs de Google et avoir fix une date limite pour une divulgation publique, le problme a finalement t corrig et rsolu.

Cette situation dmontre la ncessit d'effectuer des mises jour de scurit rgulires et long terme pour les tlphones qui sont probablement encore en service. Naturellement, toute personne possdant un tlphone potentiellement vulnrable devrait installer les dernires mises jour de scurit ds qu'elles sont disponibles. En attendant, ce n'est pas une stratgie viable pour une utilisation rgulire, mais redmarrer un tlphone sans le dverrouiller devrait empcher les gens d'accder vos donnes prives.

Source : Cybersecurity researcher David Schtz

Et vous ?

Quel est votre avis sur le sujet ?